İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.




Kategori: Genel
Fırat Boyan 23.03.2017 2

Client'lar Domain Controller'ları Nasıl Bulur?

Bilgisayarların Domain Controller bulma süreci, Active Directory (AD) yapısının işleyişi açısından hayati öneme sahip bir mekanizmadır. Bu süreç, Client'ların kimlik doğrulama, oturum açma ve dizin hizmetlerine erişim gibi işlemleri gerçekleştirmesi için gerekli olan temel adımdır. Bilgisayarlar, bir Domain'e katıldığında veya oturum açmaya çalıştığında, DNS üzerinden bir dizi sorgu gerçekleştirir. Bu sorgular, DNS sunucusunda tanımlı olan SRV (Service Resource Records) kayıtları aracılığıyla en uygun Domain Controller'ı bulmalarını sağlar.

Domain Controller keşfi, Client'ın bir DNS sorgusu ile başlar. Bu sorgu genellikle _ldap._tcp.dc._msdcs.DomainName gibi bir SRV kaydına yapılır. LDAP, Client'ların AD dizin hizmetine erişim sağladığı protokoldür ve DNS üzerindeki bu SRV kaydı, LDAP servisini sunan Domain Controller'ları işaret eder. DNS sunucusu, bu sorguya yanıt olarak Domain Controller'ın IP adreslerini döner ve Client, bu adreslerden biriyle iletişim kurarak kimlik doğrulama işlemini başlatır. Bu aşamada, DNS ve SRV kayıtlarının doğru şekilde yapılandırılması büyük önem taşır, çünkü eksik veya hatalı yapılandırmalar, Client'ların Domain Controller'ı bulamamasına ve kimlik doğrulama işlemlerinin başarısız olmasına neden olabilir.

Client'lar, DNS sorgusu sonucunda birden fazla Domain Controller'ın adresini alabilirler. Bu durumda, Client, en uygun Domain Controller'ı seçmek için çeşitli kriterlere başvurur. Bunlar arasında Network gecikmesi, ping yanıt süresi ve Active Directory Site yapılandırması gibi faktörler bulunur. AD ortamında Sites and Services yapılandırması, Client'ların kendi bulundukları Site içindeki Domain Controller'lar ile iletişim kurmasını sağlar. Bu, WAN bağlantıları üzerindeki gereksiz trafiği azaltarak kimlik doğrulama işlemlerinin hızlanmasına yardımcı olur. Eğer bir Client, kendi Site'ında bir Domain Controller bulamazsa, başka bir Site'daki Domain Controller ile iletişim kurmak zorunda kalabilir.

Client'ların DNS üzerinden doğru Domain Controller'ı bulabilmesi için her Domain Controller'ın DNS üzerinde SRV kayıtları ile tanımlanmış olması gerekir. Netlogon servisi, her Domain Controller'ın DNS sunucusuna kendisini otomatik olarak kaydetmesini sağlar. Bu kayıtlar, LDAP, Kerberos ve Global Catalog gibi servisleri sunan Domain Controller'ların Network üzerinde keşfedilmesine yardımcı olur. Netlogon ayrıca, bu kayıtların güncellenmesini ve doğru şekilde korunmasını sağlar. DNS sunucusunda herhangi bir sorun yaşandığında veya SRV kayıtları eksik olduğunda, Client'lar Domain Controller'a ulaşmakta güçlük çekebilir ve kimlik doğrulama süreçleri aksayabilir.

Active Directory yapısında DNS ve SRV kayıtları, Authentication (kimlik doğrulama) işlemlerinin temelini oluşturur. Client'lar, DNS üzerinden bu kayıtlarla en yakın ve en uygun Domain Controller'ı keşfeder. Eğer bu süreç düzgün çalışıyorsa, oturum açma, Group Policy nesnelerinin uygulanması ve dizin verilerine erişim gibi işlemler sorunsuz şekilde gerçekleştirilir.

DNS ve SRV Kayıtları ile Domain Controller Keşfi

Bir bilgisayar, bir Domain'e katıldığında veya bir kullanıcı AD Domain'inde oturum açmaya çalıştığında, ilk olarak DNS üzerinde bir SRV kaydı sorgulaması yapar. SRV kayıtları, DNS sisteminde belirli servislerin yerini belirten kayıtlardır ve AD yapısında _ldap._tcp.dc._msdcs.DomainName gibi bir SRV kaydı, LDAP ve Domain Controller servislerini işaret eder. Bilgisayar, DNS sunucusuna bu SRV kaydına yönelik bir sorgu gönderir ve DNS sunucusu, Domain Controller'ların IP adreslerini içeren bir yanıt döner. Bu süreç, bilgisayarın en uygun Domain Controller ile iletişim kurmasını sağlar.

Her Domain Controller, SRV kayıtları aracılığıyla DNS'e kendisini kaydeder. Bu kayıtlar, Domain Controller'ın hangi hizmetleri sunduğunu ve hangi bölgelerde bulunduğunu belirtir. Örneğin, bir Domain Controller LDAP, Kerberos, ve Global Catalog gibi hizmetleri sunduğunda, bunlar DNS üzerinden SRV kayıtları ile ilan edilir. DNS sunucusu, bir istemciden gelen SRV sorgusuna yanıt olarak bu kayıtları kullanarak en uygun Domain Controller'ı seçer. Bilgisayarlar, Network üzerindeki en yakın veya en uygun Domain Controller'ı bulmak için bu SRV kayıtlarına başvurur.

Site-Subnet İlişkisi ve Domain Controller Keşfi

Büyük Network yapılarında, AD Sites and Services konfigürasyonu, bilgisayarların en yakın Domain Controller ile iletişim kurmasını sağlar. AD, Network'ü Sites adı verilen bölgelere ayırarak her sitenin kendi Subnet'lerini tanımlar. Bilgisayarlar, IP adreslerine göre hangi Site'de olduklarını belirler ve Site'ları içindeki en yakın Domain Controller ile iletişim kurarlar. Bu, özellikle WAN üzerinden yapılacak gereksiz trafiği önler ve yerel bir Domain Controller üzerinden oturum açma işlemlerini hızlandırır. Bir bilgisayar, DNS sorgusu yaptığında kendi Site'ında bulunan bir Domain Controller'ı arar. Eğer bulunduğu Site'da bir Domain Controller yoksa, başka bir Site'daki Domain Controller ile iletişim kurmak zorunda kalabilir. Bu süreç de, SRV kayıtları ve AD Sites and Services yapısı üzerinden yönetilir.

Netlogon ve DNS Dinamik Kayıtları

Netlogon hizmeti, DNS ile birlikte çalışarak Domain Controller keşfinde önemli bir role sahiptir. Her Domain Controller, Netlogon servisini kullanarak DNS sunucularına dinamik olarak kendisini kaydeder. Bu işlem, DNS üzerinde SRV kayıtlarının oluşturulmasını sağlar ve böylece Domain Controller'ın sunduğu hizmetler DNS'e ilan edilmiş olur. Bilgisayarlar bir Domain'e katıldığında veya oturum açmaya çalıştığında, bu SRV kayıtları üzerinden en uygun Domain Controller'a yönlendirilir.

Netlogon ayrıca, Client'ların oturum açma işlemleri sırasında kimlik doğrulama isteklerini karşılayan bir mekanizma sağlar. Client, bir Domain Controller bulamazsa Netlogon servisi, bu eksikliği tamamlamak için yerel NetBIOS isim çözümleme gibi alternatif yöntemler kullanarak Domain Controller keşif sürecini tamamlamaya çalışır. Bu yöntem, özellikle DNS ile ilgili yapılandırma sorunlarında veya SRV kayıtlarının bulunmadığı ortamlarda devreye girer, ancak DNS tabanlı çözümlemeden daha yavaş ve daha az güvenilir bir yöntemdir.

SRV Kayıtlarının Önemi ve Yönetimi

SRV kayıtlarının doğru yapılandırılması, Active Directory (AD) ortamındaki Client'ların Domain Controller'ı sorunsuz bulabilmesi ve AD hizmetleriyle etkili bir şekilde iletişim kurabilmesi için kritik bir rol oynar. SRV kayıtları, her Domain Controller'ın DNS sunucusunda kendi servislerini duyurduğu kayıtlardır ve bu sayede Client'lar, DNS üzerinden doğru Domain Controller'ı keşfederek LDAP, Kerberos ve Global Catalog (GC) gibi hizmetlere erişim sağlar. Bu kayıtların doğru şekilde oluşturulması, AD yapısının sağlıklı çalışması açısından büyük önem taşır. Yanlış yapılandırılmış veya eksik SRV kayıtları, kimlik doğrulama ve oturum açma işlemlerinde gecikmelere veya başarısızlıklara yol açabilir.

Domain Controller'lar, SRV kayıtları aracılığıyla DNS'e kendi servislerini otomatik olarak kaydederler. Netlogon servisi bu kaydın yapılmasını sağlar ve bu kayıtların düzenli olarak güncellenmesi de Netlogon servisi üzerinden gerçekleştirilir. Her bir Domain Controller, DNS'e kayıtlı olmak zorundadır, çünkü Client'lar DNS sorguları ile Domain Controller'ı bulurlar ve kimlik doğrulama işlemlerini başlatırlar. Özellikle çoklu Domain Controller bulunan büyük Network yapılarında, SRV kayıtları, hangi Domain Controller'ın hangi hizmeti sunduğunu net bir şekilde tanımlayarak, Client'ların en uygun sunucuya bağlanmasını sağlar.

SRV kayıtları, Active Directory ortamında LDAP (Lightweight Directory Access Protocol), Kerberos Authentication ve Global Catalog olmak üzere üç ana hizmet için kullanılır.

1- LDAP (Lightweight Directory Access Protocol): dizin hizmetlerine erişimi sağlayan temel protokol olduğundan, _ldap._tcp.dc._msdcs.DomainName kaydı, LDAP hizmetini sunan Domain Controller'ları işaret eder. Client'lar bu kayda yönelik bir DNS sorgusu yaptıklarında, DNS sunucusu LDAP hizmetini sunan uygun Domain Controller'ların bir listesini döner ve Client, en yakın veya en uygun sunucuya yönlendirilir.

2- Kerberos Authentication (kimlik doğrulama): AD ortamında güvenli kimlik doğrulama işlemlerini yönetir ve _kerberos._tcp.dc._msdcs.DomainName kaydı, Kerberos servisini sunan Domain Controller'ları tanımlar. Client'lar, oturum açma sırasında bu kayda yönelik bir DNS sorgusu yaparak kimlik doğrulama işlemlerini gerçekleştirebilecek Domain Controller'ı bulur. Kerberos, AD'nin güvenlik modelinin temelini oluşturur, bu nedenle bu SRV kaydının eksiksiz ve doğru olması kimlik doğrulama işlemlerinin başarıyla tamamlanması için gereklidir.

3- Global Catalog: AD ortamında dizin sorgularının hızlandırılması için kullanılır ve _gc._tcp.dc._msdcs.DomainName kaydı, bu hizmeti sunan Domain Controller'ları işaret eder. Global Catalog, özellikle çoklu Domain yapılarında önemli bir rol oynar, çünkü her Domain'deki nesnelerin özniteliklerinin bir alt kümesini içerir. Client'lar, başka Domain'lerdeki kaynaklara erişmek istediklerinde Global Catalog'a başvururlar ve bu sayede kaynaklara hızlı bir şekilde ulaşabilirler.

DNS sunucusunda bu SRV kayıtlarının eksik veya yanlış yapılandırılması, Client'ların uygun Domain Controller'ları bulamamasına ve AD hizmetlerine erişimde sorun yaşamasına neden olabilir. Özellikle büyük ve dağıtık AD ortamlarında SRV kayıtlarının doğruluğu düzenli olarak kontrol edilmelidir. Ayrıca, Netlogon servisi aracılığıyla DNS'e kaydedilen bu SRV kayıtlarının zamanında güncellenmesi de AD'nin kesintisiz çalışmasını sağlar.

SRV kayıtları, AD ortamında Client'ların en uygun Domain Controller ile iletişim kurmasını sağlayan anahtar bileşenlerdir. DNS ve SRV kayıtlarının doğru yapılandırılması, kimlik doğrulama, oturum açma ve dizin hizmetlerine erişim gibi temel işlemlerin kesintisiz bir şekilde yürütülmesini sağlar.

DNS üzerindeki SRV kayıtları şunları içermelidir:

# _ldap._tcp.dc._msdcs.DomainName

_ldap._tcp.dc._msdcs.DomainName kaydı, Active Directory (AD) yapısının temel taşlarından biri olan DNS'in sağladığı SRV (Service Locator Resource Record) kaydıdır. Bu kayıt, Client'ların LDAP (Lightweight Directory Access Protocol) servislerine ve dolayısıyla Domain Controller'lara (DC) erişimini sağlayan kritik bir DNS mekanizmasıdır. Active Directory, LDAP protokolünü kullanarak Client'lar ve Domain Controller'lar arasında kimlik doğrulama, dizin verilerine erişim ve diğer AD işlemlerini yönetir. _ldap._tcp.dc._msdcs.DomainName kaydı, LDAP servisini sunan Domain Controller'ların DNS üzerinden keşfedilmesini sağlar.

SRV Kaydının Yapısı

_ldap._tcp.dc._msdcs.DomainName SRV kaydı, dört ana bileşenden oluşur ve her bileşen DNS'in nasıl çalıştığını belirler:

1. _ldap: LDAP servisini işaret eder. LDAP, AD yapısında dizin bilgilerini aramak, değiştirmek ve yönetmek için kullanılan temel protokoldür. Bu protokol üzerinden kullanıcı oturum açma talepleri, dizin verilerine erişim ve AD'nin diğer birçok işlevi gerçekleştirilir.

2. _tcp: LDAP servisinin hangi iletişim protokolü üzerinden çalıştığını belirtir. Bu örnekte TCP (Transmission Control Protocol) kullanılır, çünkü LDAP oturum tabanlı bir protokoldür ve güvenilir veri aktarımı gerektirir.

3. dc: Domain Controller anlamına gelir ve LDAP servisini sunan sunucuları işaret eder. Domain Controller'lar, AD'nin kalbidir ve kullanıcıların kimlik doğrulama taleplerini, grup politikalarını ve dizin veri tabanını yönetir.

4. _msdcs.DomainName: MSDCS, Microsoft DNS ve Active Directory Domain Controller'larını temsil eder. DomainName ise, bu kaydın hangi Domain'e ait olduğunu belirtir. Bu yapı, Client'ların bir Domain'in içindeki uygun Domain Controller'ları keşfetmesini sağlar.

Bu kaydın birleşimi, Client'ların LDAP servisine erişmek için DNS sunucusuna yönelttikleri sorgulara yanıt verir. İstemciler bu SRV kaydı üzerinden kendilerine en uygun Domain Controller'ı bulabilirler.

Domain Controller Keşfi

Bir istemci, _ldap._tcp.dc._msdcs.DomainName kaydına yönelik bir DNS sorgusu başlattığında, DNS sunucusu, LDAP servisini sunan Domain Controller'ların bir listesini döner. Bu liste, ilgili Domain'deki tüm Domain Controller'ları içerebilir. İstemci, aldığı yanıt üzerinden kendisi için en uygun olan Domain Controller ile bağlantı kurar. Bu işlem sırasında istemci, genellikle şu kriterlere göre seçim yapar:

• Site Bilgisi: Active Directory Sites and Services yapısına göre, istemci kendine en yakın olan Domain Controller'ı tercih eder. Bu, WAN trafiğini en aza indirgemek ve performansı optimize etmek için önemlidir.

• Ping Yanıt Süreleri: İstemci, Domain Controller'lara ping göndererek yanıt sürelerini ölçebilir. En hızlı yanıtı veren Domain Controller seçilir.

• Network Gecikmeleri: İstemci, Network üzerindeki gecikmeleri dikkate alarak en hızlı ve güvenilir Domain Controller'ı bulmaya çalışır.

SRV kaydı, istemcinin en uygun Domain Controller'ı bulmasına yardımcı olurken, aynı zamanda LDAP üzerinden yapılan işlemlerin güvenilir bir şekilde yürütülmesini sağlar. Bu kayıt sayesinde, Client'lar fiziksel olarak nerede bulunduklarını bilmeden AD yapısına sorunsuz erişim sağlayabilirler.

DNS ve Active Directory Entegrasyonu

DNS, AD yapısının işleyişi için temel bir role sahiptir ve AD'yi çalıştıran her Domain Controller, DNS üzerinde bir dizi SRV kaydıyla kendisini tanıtır. _ldap._tcp.dc._msdcs.DomainName kaydı da bu kayıtlardan biridir. DNS sunucusu, bu kaydı ve benzeri SRV kayıtlarını kullanarak Client'lara, Domain Controller'ın hizmet verdiği alanla ilgili bilgi sağlar. AD'nin çalışabilmesi için DNS sunucularının bu kayıtları doğru bir şekilde barındırması ve yanıt verebilmesi kritik öneme sahiptir. Bir Domain Controller, DNS'e kendisini kaydettiğinde, LDAP servisini sunduğunu ve hangi port üzerinden erişilebilir olduğunu bildirir.

Her Domain Controller, Netlogon servisi aracılığıyla DNS'e kendisini kaydeder. Netlogon, DNS sunucusuna belirli aralıklarla bu SRV kayıtlarını günceller. İstemciler, DNS sorgusu yaptığında bu güncel bilgilerle en yakın veya en uygun Domain Controller'a yönlendirilirler. _ldap._tcp.dc._msdcs.DomainName kaydı bu keşif sürecinde kullanılan en temel DNS kaydıdır. Ayrıca, bu SRV kaydının hata vermesi ya da eksik olması durumunda, Client'ların LDAP servislerine erişememesi ya da yanlış Domain Controller ile iletişim kurması söz konusu olabilir.

Kayıtların DNS Üzerinde Yönetimi

_ldap._tcp.dc._msdcs.DomainName kaydı, DNS yönetim konsolu üzerinden gözlemlenebilir ve gerektiğinde manuel olarak yönetilebilir. Ancak, bu kayıtların genellikle Netlogon servisi tarafından otomatik olarak DNS'e eklendiğini unutmamak gerekir. DNS üzerinde bu kayıtlarda bir sorun olduğunda, Netlogon servisi, Domain Controller'ı tekrar DNS sunucusuna kaydetmeye çalışır.

DNS sunucusundaki SRV kayıtlarını izlemek ve gerektiğinde sorunları gidermek, AD'nin düzgün çalışması için önemlidir. SRV kaydında sorun yaşanması, Client'ların Domain Controller'lara erişiminde aksamalara ve oturum açma sorunlarına yol açabilir. Ayrıca, AD Sites and Services yapılandırması da bu sürece etki eder. İstemciler, DNS üzerinden en yakın Domain Controller'ı seçebilmek için Site/Subnet bilgisine ihtiyaç duyar. Yanlış yapılandırılmış bir Site/Subnet, Client'ların uzak bir Domain Controller ile iletişim kurmasına neden olabilir ve bu da Network performansını olumsuz yönde etkileyebilir.

Global Catalog ve LDAP İlişkisi

Bir diğer önemli detay ise Global Catalog servisidir. Domain Controller'lar, LDAP sorguları ve kimlik doğrulama işlemleri için önemli birer düğüm noktasıdır, ancak bazı durumlarda LDAP sorguları Global Catalog sunucularına yönlendirilir. Global Catalog, AD yapısındaki tüm nesnelerin belirli bir alt kümesini içerir ve birden fazla Domain'in bulunduğu ortamlarda sorguların hızla sonuçlandırılmasını sağlar. _gc._tcp.dc._msdcs.DomainName SRV kaydı, Global Catalog sunucularını işaret ederken, _ldap._tcp.dc._msdcs.DomainName SRV kaydı, yalnızca LDAP servislerini sunan tüm Domain Controller'ları işaret eder.

# _kerberos._tcp.dc._msdcs.DomainName

_kerberos._tcp.dc._msdcs.DomainName kaydı, DNS üzerinde Active Directory (AD) yapısında Kerberos kimlik doğrulama protokolü ile ilgili Domain Controller (DC) servislerini işaret eden bir SRV (Service Locator Resource Record) kaydıdır. Bu kayıt, Client'ların kimlik doğrulama işlemlerini gerçekleştirecek en uygun Domain Controller'ı bulmasını sağlar. Kerberos, AD’nin varsayılan kimlik doğrulama protokolü olarak kritik bir rol oynar ve Client'lar ile sunucular arasında güvenli bir oturum açma ve kimlik doğrulama mekanizması sağlar. _kerberos._tcp.dc._msdcs.DomainName kaydı, Kerberos taleplerini işleyebilecek DC’lerin DNS üzerinden keşfedilmesine olanak tanır.

SRV Kaydının Yapısı ve İşlevi

_kerberos._tcp.dc._msdcs.DomainName kaydının detaylarına bakıldığında bu SRV kaydı, dört ana bileşenden oluşur:

1. _kerberos: Kerberos kimlik doğrulama servisini ifade eder. Kerberos, AD'de güvenli ve hızlı kimlik doğrulama sağlamak için kullanılan temel protokoldür. Bu protokol, Client'ların kimliğini doğrulamak için bir "bilet" mekanizması kullanır ve bu bilet, Kerberos servisi tarafından istemciye sunulur.

2. _tcp: Kerberos servisinin hangi iletişim protokolü üzerinden çalıştığını gösterir. Burada TCP (Transmission Control Protocol) kullanılır, çünkü TCP, bağlantı tabanlı ve güvenilir veri aktarımı sağlar. Kerberos, yüksek güvenlik ve veri bütünlüğü gerektiren işlemler için TCP üzerinde çalışır.

3. dc: Domain Controller anlamına gelir. Bu, DNS kayıtlarında Kerberos kimlik doğrulama hizmetini sağlayan sunucuların Domain Controller'lar olduğunu ifade eder. Domain Controller, Kerberos işlemlerinin merkezidir ve kullanıcı oturum açma taleplerini doğrulamak için kullanılır.

4. _msdcs.DomainName: Bu bölüm, Microsoft Domain Controller servislerini ve Domain'in adını temsil eder. DomainName kısmı, Kerberos servisini sunan Domain'in tam adıyla değiştirilir. Bu SRV kaydı, belirli bir Domain'deki Kerberos hizmeti sunan Domain Controller'ların DNS üzerinden bulunmasını sağlar.

Bu SRV kaydı, Kerberos kimlik doğrulama taleplerinin doğru Domain Controller'a yönlendirilmesini sağlar. Bilgisayarlar, oturum açma veya Network üzerinde kimlik doğrulama işlemleri gerçekleştirdiklerinde, _kerberos._tcp.dc._msdcs.DomainName kaydına DNS üzerinden bir sorgu gönderirler. DNS sunucusu, Kerberos hizmetini sağlayan uygun Domain Controller’ların IP adreslerini döner ve istemci, bu adreslere bağlanarak kimlik doğrulama işlemini başlatır.

Kerberos Kimlik Doğrulama Süreci

Kerberos protokolü, istemci ve sunucu arasında güvenli bir kimlik doğrulama süreci sağlayan Ticket temelli bir sistemdir. İstemci, Domain Controller ile iletişim kurduğunda, ilk olarak Ticket Granting Ticket (TGT) olarak adlandırılan bir Ticket talep eder. Bu Ticket, istemcinin kimliğini doğrulamak için Kerberos Key Distribution Center (KDC) tarafından verilir. KDC, bir Domain Controller'da çalışır ve Authentication Service (AS) ve Ticket Granting Service (TGS) olarak iki ana bileşenden oluşur. AS, Client'ın kimliğini doğrularken TGS, diğer Network hizmetlerine erişmek için gerekli olan Ticket'ları sağlar.

İstemci, oturum açma veya herhangi bir kaynak erişimi talebinde bulunduğunda şu adımları izler:

1. Client, Domain Controller’a bir Ticket talebi gönderir. Bu talep, DNS üzerindeki _kerberos._tcp.dc._msdcs.DomainName kaydına yönelik bir sorguyla başlar ve uygun Domain Controller bulunur.

2. Domain Controller, istemcinin kimliğini doğrular ve ona bir TGT sunar. Bu Ticket, Client'ın kimliğini kanıtlayan ve belirli bir süre için geçerli olan bir Authentication (kimlik doğrulama) Ticket'ı olarak işlev görür.

3. Client, bu Ticketi kullanarak Network üzerindeki diğer hizmetlere erişim için ayrı bir Ticket (service ticket) talep eder. Bu talep de yine Kerberos protokolü üzerinden gerçekleştirilir.

4. Domain Controller, Client'ın Ticket'ını onaylar ve istemcinin belirli bir hizmete erişmesine olanak tanıyan bir service ticket verir.

5. İstemci, bu Ticket ile örneğin bir File Server (dosya sunucusu) gibi hedef hizmete erişir. Bu süreç boyunca, Client'ların güvenilir ve kimliği doğrulanmış bir şekilde Network kaynaklarına erişebilmesi sağlanır. Kerberos’un bu güvenli yapısı, kimlik doğrulama sürecinde parola kullanımını en aza indirir ve Network üzerindeki veri güvenliğini artırır.

Site-Subnet Yapısı ve Kerberos

Büyük AD yapılarında, AD Sites and Services yapılandırması, Kerberos taleplerinin en uygun Domain Controller’a yönlendirilmesini sağlar. DNS üzerinden gelen Kerberos sorguları, istemcinin fiziksel konumuna en yakın Domain Controller’a yönlendirilir. AD Sites and Services yapılandırmasında her Site, belirli bir Subnet'e atanır. İstemci, Subnet’e göre hangi Site’ta olduğunu belirler ve o Site içinde bulunan bir Domain Controller ile iletişim kurar. Bu yapı, WAN bağlantılarında gereksiz trafiği önleyerek Kerberos taleplerinin en hızlı şekilde işlenmesini sağlar.

Eğer istemcinin bulunduğu Site’da bir Domain Controller bulunmuyorsa, Kerberos talepleri farklı bir Site’taki Domain Controller'a yönlendirilebilir. Ancak bu, gecikmelere neden olabileceği için Site/Subnet yapılandırmalarının doğru şekilde yapılması önemlidir.

DNS ve Netlogon Entegrasyonu

Kerberos kimlik doğrulama işlemi, DNS üzerinde bulunan _kerberos._tcp.dc._msdcs.DomainName kaydına dayanır. Bu kayıt, Netlogon servisi aracılığıyla DNS sunucusuna dinamik olarak eklenir ve güncellenir. Her Domain Controller, Netlogon servisini kullanarak kendisini DNS’e kaydeder ve belirli aralıklarla bu kayıtları yeniler. Netlogon servisi, Kerberos hizmetlerini sunan tüm Domain Controller'ların DNS üzerinde doğru şekilde tanımlanmasını sağlar.

DNS üzerindeki SRV kayıtlarının düzgün çalışmaması durumunda, Client'lar doğru Domain Controller'ı bulamayabilir ve Kerberos kimlik doğrulama işlemi başarısız olabilir. Bu nedenle, Netlogon servisinin düzgün çalıştığından ve DNS üzerinde ilgili SRV kayıtlarının doğru şekilde bulunduğundan emin olunması, AD’nin ve Kerberos kimlik doğrulama sürecinin sağlıklı işleyişi açısından büyük önem taşır.

SRV Kayıtlarının Yönetimi

_kerberos._tcp.dc._msdcs.DomainName kaydı DNS üzerinde yönetilebilir ve gerektiğinde izlenebilir. Bu kayıtların DNS sunucusunda doğru şekilde bulunduğundan emin olmak için düzenli olarak kontrol edilmesi önerilir. Eğer Kerberos hizmetini sunan bir Domain Controller DNS'e kendisini kaydetmezse, Client'lar o Domain Controller'a erişemeyebilir ve kimlik doğrulama talepleri başarısız olabilir. Bu gibi durumlarda, Netlogon servisi devreye girerek eksik SRV kayıtlarını yeniden oluşturabilir.

SRV kayıtları, özellikle Kerberos kimlik doğrulama işlemlerinde çok önemli bir yer tutar. Kerberos taleplerinin işlenememesi, Client'ların Network kaynaklarına erişememesine, oturum açma işlemlerinin başarısız olmasına veya gecikmelere yol açabilir. Bu nedenle, DNS sunucusunun ve SRV kayıtlarının düzenli olarak izlenmesi, potansiyel sorunların önceden tespit edilmesini sağlar.

Kerberos ve Global Catalog İlişkisi

Büyük AD yapılarında, Kerberos talepleri bazen Global Catalog (GC) sunucuları ile de ilişkilendirilebilir. Global Catalog, birden fazla Domain içeren ortamlarda dizin aramalarını hızlandıran bir yapıdır. Kerberos kimlik doğrulama işlemi, bazen Global Catalog sunucusuna da başvurabilir. Bu tür talepler için DNS üzerinde _gc._tcp.dc._msdcs.DomainName kaydı bulunur. Ancak, Kerberos’un temel kimlik doğrulama işlemleri genellikle _kerberos._tcp.dc._msdcs.DomainName kaydı üzerinden yürütülür.

# _gc._tcp.dc._msdcs.DomainName

_gc._tcp.dc._msdcs.DomainName kaydı, Active Directory (AD) ortamlarında Global Catalog (GC) hizmetini sunan Domain Controller'ların DNS üzerinden keşfedilmesini sağlayan bir SRV (Service Locator Resource Record) kaydıdır. Global Catalog, AD yapısında kritik bir rol oynayan bir bileşendir ve çoklu Domain yapılarında dizin sorgularını hızlandırarak kimlik doğrulama ve dizin arama işlemlerini optimize eder. _gc._tcp.dc._msdcs.DomainName kaydı, Global Catalog servisini sağlayan Domain Controller'ların DNS tarafından bilinir hale getirilmesini sağlar ve Client'ların bu sunuculara yönlendirilmesine yardımcı olur.

Global Catalog Nedir?

Global Catalog (GC), Active Directory'deki her Domain'den seçilmiş olan belirli nesne Attribute'lerinin bir alt kümesini içeren bir veritabanıdır. AD ortamında birden fazla Domain olduğunda, Global Catalog, her Domain'deki en önemli Attribute'lerin bir kopyasını barındırır. Böylece, kullanıcılar veya uygulamalar bir sorgu yaptığında, AD'deki tüm Domain'leri dolaşmak yerine, bu Global Catalog sunucusuna erişerek sorgularını çok daha hızlı bir şekilde sonuçlandırabilirler.

Global Catalog sunucuları, sadece sorgulama hızını artırmakla kalmaz, aynı zamanda kimlik doğrulama işlemlerini de kolaylaştırır. Örneğin, bir kullanıcı farklı bir Domain'de oturum açmaya çalıştığında Global Catalog sunucusu, bu kullanıcının kimlik bilgilerini doğrulamak için gereken bilgileri sağlayabilir. Bu, özellikle çoklu Domain'li ortamlar için kritik bir işlevdir.

SRV Kaydının Yapısı

_gc._tcp.dc._msdcs.DomainName kaydı, DNS üzerinde Global Catalog hizmetini sunan Domain Controller'ların yerini belirten bir kayıttır. Bu kayıt dört ana bileşenden oluşur:

1. _gc: Global Catalog servisini ifade eder. Global Catalog, AD'deki sorguların hızlandırılması ve çok Domain'li yapılar arasında nesnelerin hızlı bulunması için kullanılır.

2. _tcp: Global Catalog hizmetinin TCP (Transmission Control Protocol) üzerinde çalıştığını gösterir. TCP, bağlantı tabanlı ve güvenilir veri aktarımı sağlayan bir protokoldür.

3. dc: Domain Controller anlamına gelir. Bu kayıt, Global Catalog hizmetini sunan Domain Controller'ları işaret eder.

4. _msdcs.DomainName: MSDCS, Microsoft Domain Controller'larını ifade eder ve DomainName kısmı, hangi Domain'deki Global Catalog sunucularının keşfedileceğini belirtir. Bu kısım, Domain’in adını içerir ve Client'ların o Domain'deki Global Catalog sunucularını keşfetmesini sağlar.

Bu yapı, Client'ların DNS üzerinden Global Catalog hizmetini sunan Domain Controller'ları bulmasına yardımcı olur. Bilgisayarlar veya uygulamalar, Global Catalog ile ilgili sorgularını _gc._tcp.dc._msdcs.DomainName kaydına yapar ve DNS sunucusu, Global Catalog hizmeti sunan en uygun Domain Controller’ın IP adreslerini yanıt olarak döner.

Global Catalog ve Çoklu Domain Yapıları

Global Catalog sunucuları, özellikle Forest adı verilen çoklu Domain yapılarında hayati bir role sahiptir. AD Forest yapısı, birden fazla Domain'i içerdiğinden, her Domain'deki nesnelerin bir Global Catalog sunucusunda kısmi bir kopyası tutulur. Bu kopya, yalnızca sorgulama için gereken önemli öznitelikleri içerir. Örneğin, bir kullanıcı başka bir Domain'deki bir kaynağa erişmek istediğinde, Global Catalog sunucusu bu isteği karşılar ve AD Forest yapısında gerekli doğrulamayı yapar.

Eğer bir Global Catalog sunucusu mevcut olmasaydı, Client'lar her Domain'deki ayrı ayrı Domain Controller'lara gidip sorgularını yürütmek zorunda kalırdı, bu da ciddi bir performans kaybına ve yüksek Network trafiğine neden olurdu. Global Catalog sunucuları, bu süreci optimize eder ve çoklu Domain'li yapılar için merkezi bir sorgulama noktası sağlar.

Global Catalog’un Kullanım Senaryoları

1. Kullanıcı Oturum Açma: Kullanıcılar, kendi Domain'lerinde olmayan kaynaklara erişmeye çalıştığında, Global Catalog sunucusu bu işlemleri hızlandırır. Örneğin, bir kullanıcı farklı bir Domain'de oturum açarken Global Catalog, kullanıcının üyelik bilgilerini sağlayarak kimlik doğrulama işlemini hızlandırır.

2. Universal Group Üyelikleri: Global Catalog, Universal Group'lar ile ilgili üyelik bilgilerini tutar. Bir kullanıcı farklı bir Domain'deki Evrensel Gruba üye olduğunda, Global Catalog bu üyelik bilgilerini sunarak kaynak erişim taleplerini onaylar.

3. Dizin Arama: Uygulamalar veya kullanıcılar AD üzerinde arama yaparken, sorgularını Global Catalog sunucularına gönderir. Bu, AD'nin tamamını dolaşmak yerine, sorgunun hızlı bir şekilde sonuçlanmasını sağlar.

4. Kimlik Doğrulama: Global Catalog, kimlik doğrulama işlemlerinde kullanıcıların kimlik bilgilerini doğrulamak için önemli bilgiler sağlar. Özellikle çok Domain'li yapılar için kritik bir bileşendir.

Global Catalog ve DNS Entegrasyon

Global Catalog sunucularının DNS ile entegrasyonu, _gc._tcp.dc._msdcs.DomainName kaydı sayesinde sağlanır. Her Domain Controller, Global Catalog rolünü üstlendiğinde, Netlogon servisi aracılığıyla DNS sunucusuna kendisini kaydeder. Bu işlem, DNS üzerinde _gc kaydının oluşturulmasını sağlar. Bu kayıtlara yapılan DNS sorguları, Client'lari Global Catalog sunucularına yönlendirir.

Netlogon servisi, belirli aralıklarla DNS sunucularına Global Catalog hizmetini sağlayan Domain Controller'ların SRV kayıtlarını günceller. Bu sayede, Client'lar her zaman güncel Global Catalog sunucularına yönlendirilir. Global Catalog sunucusunun DNS’e doğru şekilde kaydedilmemesi, Client'ların Global Catalog hizmetine erişememesine ve sorgu işlemlerinin başarısız olmasına neden olabilir.

SRV Kayıtlarının Yönetimi ve İzlenmesi

_gc._tcp.dc._msdcs.DomainName kaydı, DNS sunucusunda manuel olarak izlenebilir ve gerektiğinde yönetilebilir. Ancak bu kayıtların Netlogon servisi tarafından dinamik olarak oluşturulduğunu unutmamak gerekir. Eğer bir Domain Controller Global Catalog rolünü üstlenir ancak DNS'e kendisini kaydetmezse, Client'lar o Global Catalog sunucusuna erişemeyebilir. Bu durumda, DNS sunucusu üzerinde bu SRV kayıtlarının varlığı ve doğruluğu düzenli olarak kontrol edilmelidir.

SRV kayıtlarının doğru çalışmaması veya eksik olması durumunda Client'lar, Global Catalog sunucularına erişim sağlayamaz ve dizin arama veya kimlik doğrulama işlemleri başarısız olabilir. DNS sunucusunun ve Netlogon servisinin düzenli olarak izlenmesi ve gerekli durumlarda SRV kayıtlarının yenilenmesi, bu tür sorunları önlemek için kritik öneme sahiptir.

Global Catalog ile Replikasyon

Global Catalog, yalnızca belirli nesne özniteliklerini içeren bir kopya tuttuğundan, bu bilgiler AD Forest içindeki tüm Domain Controller'lar arasında replike edilir. Global Catalog sunucuları, diğer Domain'lerden gelen nesnelerin bir alt kümesini barındırır ve bu verilerin sürekli güncel tutulması gerekir. Replikasyon süreci, Global Catalog'un her zaman en güncel bilgiye sahip olmasını ve kullanıcı taleplerine hızlı yanıt verebilmesini sağlar.

Replikasyon işlemi, AD Sites and Services yapılandırması aracılığıyla optimize edilebilir. Global Catalog sunucuları, farklı sitelerde yer alabilir ve bu durumda replikasyon trafiği Site/Subnet yapılandırmaları ile optimize edilerek WAN bağlantıları üzerindeki gereksiz trafiği minimize edebilir.

Global Catalog'un Yokluğu ve Etkileri

Global Catalog sunucusu olmadan, özellikle çok Domain'li yapılarda dizin aramaları ve Evrensel Grup üyelikleri gibi işlemler ciddi şekilde yavaşlar. İstemciler her Domain'deki nesnelere erişmek için ayrı ayrı Domain Controller'lara başvurmak zorunda kalır, bu da Network trafiğini artırır ve kimlik doğrulama işlemlerinde gecikmelere neden olabilir. Ayrıca, Global Catalog sunucusunun eksikliği, kullanıcıların farklı Domain'lerde oturum açmasını engelleyebilir, çünkü kimlik doğrulama sırasında Evrensel Grup üyelik bilgileri sağlanamaz. Bu kayıtlar, DNS sunucusunda bulunduğu sürece Client'lar, SRV sorgusu yaparak en uygun Domain Controller'a yönlendirilirler. Ancak SRV kayıtlarında eksiklik veya hata varsa bilgisayarlar, Domain Controller bulma konusunda sorun yaşayabilir. Bu gibi durumlar, oturum açma gecikmelerine veya başarısız oturum açma girişimlerine neden olabilir.

Domain Controller Seçim Kriterleri

Domain Controller seçim süreci, Active Directory (AD) ortamında Client'ların doğru Domain Controller ile iletişim kurmasını sağlayan karmaşık bir mekanizmaya dayanır. Bu süreç, DNS üzerinden SRV kayıtlarına yapılan sorgularla başlar ve Client'ların, kendilerine sunulan yanıtlar arasından en uygun Domain Controller'ı seçmesi için bir dizi kriter kullanılır. Bu kriterlerin doğru bir şekilde işlemesi, Client'ların hızlı bir şekilde kimlik doğrulaması yapabilmesi ve AD hizmetlerine erişebilmesi açısından hayati öneme sahiptir. Client, Domain'e katıldığında veya oturum açmaya çalıştığında, DNS sunucusuna bir SRV kaydı sorgusu gönderir. Bu sorgu sonucunda, DNS sunucusu birden fazla Domain Controller'ı yanıt olarak dönebilir. Client, bu yanıtlar arasından seçim yaparken ilk olarak AD Sites and Services yapılandırmasına başvurur. AD ortamındaki Network, Sites adı verilen mantıksal bölgelere ayrılmıştır. Her Site, belirli Subnet’lere atanır ve Client'lar, kendi Site’larında bulunan bir Domain Controller ile iletişim kurmayı tercih eder. Bu yapı, WAN üzerindeki gereksiz trafiği engeller ve Client'ların en yakın Domain Controller ile hızlı bir şekilde bağlantı kurmasını sağlar.

AD Sites and Services yapılandırması Client'ların en yakın Domain Controller'ı bulmasını sağlarken, bunun dışında ping yanıt süreleri de önemli bir kriterdir. Client, DNS sorgusuna yanıt veren Domain Controller'lar arasında en düşük gecikmeye sahip olanı tercih eder. Bu, Network performansını artırır ve Client'ın kimlik doğrulama işlemlerini hızlı bir şekilde tamamlamasını sağlar. Ayrıca, Network gecikmeleri de dikkate alınır. Client, Network üzerindeki gecikmeleri değerlendirerek en uygun Domain Controller'ı seçer. Uzak bir Domain Controller yerine en hızlı yanıtı verecek olanı tercih etmek, performansı optimize eder ve WAN trafiğini azaltır.

Client'ın seçim sürecinde bir diğer önemli faktör, hizmet kullanılabilirliğidir. AD ortamında LDAP, Kerberos ve Global Catalog gibi hizmetlerin sunulması hayati önemdedir. Client, seçtiği Domain Controller'ın bu hizmetleri sağlayıp sağlayamayacağını kontrol eder. Eğer bir Domain Controller bu hizmetleri sunamıyorsa, Client alternatif Domain Controller'lara yönlendirilir. Bu süreç, Client'ın tüm AD hizmetlerine sorunsuz bir şekilde erişimini sağlar.

Client'ın Domain Controller bulma ve seçim süreci, Netlogon servisi tarafından başlatılır. Netlogon servisi, Client oturum açma talebi gönderdiğinde DsGetDCName API'sini tetikler. Bu API, DNS üzerinden SRV kaydı sorguları yaparak, Client'ın Site/Subnet bilgilerine dayanarak en uygun Domain Controller'ı bulmasına yardımcı olur. DnsQuery fonksiyonu, Client bilgisayarın Network Interface Card (NIC) üzerinde tanımlı olan DNS IP adresini kullanarak DNS sunucusuna bir sorgu gönderir ve DNS sunucusu bu sorguya yanıt olarak Domain Controller'ların IP adreslerini döner. Client, bu yanıtlar arasından en uygun olanı seçerek kimlik doğrulama işlemlerine başlar.

Netlogon servisi, yalnızca Domain Controller keşfi için değil, aynı zamanda oturum açma taleplerinin yönetilmesi ve kimlik doğrulama süreçlerinin başlatılmasında da merkezi bir rol oynar. Client'ın DNS üzerinden doğru Domain Controller'ı bulabilmesi, bu mekanizmanın sorunsuz çalışmasına bağlıdır. Ayrıca, DNS sunucusunda SRV kayıtlarının doğru yapılandırılması ve güncel tutulması, Client'ların en uygun Domain Controller'ı bulması için kritik öneme sahiptir. SRV kayıtları eksik veya hatalı yapılandırıldığında, Client'lar doğru Domain Controller'a ulaşamayabilir ve bu da kimlik doğrulama işlemlerinin başarısız olmasına yol açabilir.

Sonuç olarak, Domain Controller seçim süreci, AD ortamında performansı ve güvenliği optimize etmek için bir dizi kritere dayanan karmaşık bir işlemdir. Bu süreç, Client'ların en uygun Domain Controller ile hızlı ve güvenilir bir şekilde bağlantı kurmasını sağlar. DNS, SRV kayıtları, Netlogon servisi ve DsGetDCName API'si gibi bileşenler, bu seçim sürecinin başarılı bir şekilde tamamlanmasında hayati bir rol oynar.

1- Client bilgisayarda bulunan Netlogon Servisi, DsGetDCName API'sini (Application Programming Interface) tetikleyerek Domain Controller'ı bulma sürecini başlatır. DsGetDCName API'si, Client'ın uygun bir Domain Controller'ı bulabilmesi için gerekli olan bilgileri toplar ve bu bilgiler doğrultusunda Client'ın en uygun Domain Controller'a yönlendirilmesini sağlar.

2- Bu API, DnsQuery fonksiyonunu kullanarak, Client'ın NIC (Network Interface Card) üzerinde tanımlı DNS IP adresine ulaşır ve oradaki DNS Server'a bir sorgu gönderir. Sorgunun amacı, SRV kayıtlarına dayanarak Domain Controller'ın konumunu bulmaktır. DNS sunucusu, bu sorguya yanıt olarak Domain Controller'ların IP adreslerini döner ve Client, en uygun olan Domain Controller'a yönlendirilir.

Client PC (İstemci bilgisayarlar) Domain Controller'ları Nasıl Bulur

Bu bilgiler; Domain Controller bilgisayarların IP adresleri ile ilişkili olan Host (A) kayıtları ve DNS Server üzerindeki tüm Domain Controller bilgisayarların DNS SRV (Service Record) kayıtlarıdır. Burada özellikle SRV kayıtları önemlidir. Aradığımız SRV kayıtları, DNS _tcp protokolündeki _ldap SRV kayıtlarıdır. _ldap SRV kayıtları, Domain Contoroller'ın bilgisayarın FQDN (Fully Qualified Domain Name) bilgisini LDAP protokolü üzerinden tüm dizinde tarar. LDAP protokolü aracılığı ile FQDN bilgisinin sorgulanması, erişilmek istenen Domain Controller'ın aynı zamanda tam olarak hangi Active Directory Site içerisinde olduğu bilgisini de sağlamaktadır.

Client PC (İstemci bilgisayarlar) Domain Controller'ları Nasıl Bulur

Client PC (İstemci bilgisayarlar) Domain Controller'ları Nasıl Bulur

Client PC (İstemci bilgisayarlar) Domain Controller'ları Nasıl Bulur

3- DsGetDCName API'si, DNSQuery fonksiyonu aracılığıyla topladığı bilgileri, Client bilgisayarın Netlogon Servisi'ne iletir. Bu işlem, DNS sorguları sonucunda elde edilen SRV ve Host (A) kayıtlarının Netlogon'a aktarılmasını sağlar.

4- Yapılan DNS sorgusu sonucunda, Client, SRV ve Host (A) kayıtlarından kendi IP bloğundaki yani Subnet'i içindeki Domain Controller'ı tanımlar ve bu Domain Controller'a erişir. Netlogon Servisi, bu bilgiyi cache'ler ve gelecekteki bağlantı taleplerinde bu önbellek bilgisini kullanarak aynı işlemlerin tekrar yapılmasını engeller.

Bu süreç, Client bilgisayarların Domain Controller bulma ve erişim işlemlerini optimize etmek için kullanılır. Sonuç olarak, bilgisayarların Domain Controller'ları bulma süreci, DNS Query gönderme, DNS Response alma, Domain Controller seçme ve bağlantı kurma adımlarından oluşur.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 2 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


11.05.2017 Orhan CİNGİ
Elinize sağlık Fırat Hocam faydalı olmuş.
23.03.2017 Cenk SAYGIN
Makaleleriniz direk çözüm odaklı, okuduktan sonra aklımdaki tüm sorular cevaplunmış oluyor. Makaleleri kitap haline getirerek mükemmel bir kaynak oluşturulur diye düşünüyorum . Elinize sağlık.